Sicherheit eines Internen Bereiches

**davidovich** · 14.03.2005, 22:39

Re: Sicherheit eines Internen Bereiches

Original geschrieben von Aegnor
Login

PHP-Code:


include ("./connect.php");

$user_pw=$_POST["user_pw"];

$login_query = mysql_query("SELECT * FROM user_index where user_nick ='$user_nick' And user_pw ='$user_pw'");

...

Hm, wenn du das Passwort einfach so in deinen Query verwendest ist es möglich deinen Query zu modifizieren (Stichwort: SQL-Injektion). Kannst ja mal bei google danach suchen. P.S für POSTund GET Varablen vwerwende ich eig. immer folgeden Syntax:

PHP-Code:


$pass = (isset($_POST['pass']) && strlen(trim($_POST['pass'])) > 0 )

? mysql_escape_string(trim($_POST['pass'])) : '';

Vielleicht etwas lang, aber kann ja alles net schaden

**TBT** · 14.03.2005, 22:41

erstes Loch:

PHP-Code:


$user_pw=$_POST["user_pw"];

$login_query = mysql_query("SELECT * FROM user_index 

where user_nick ='$user_nick' And user_pw ='$user_pw'");

was passiert wohl, wenn ich als passwort

' or '1

eingebe ?

**kill_bill** · 14.03.2005, 22:46

Re: Sicherheit eines Internen Bereiches

Original geschrieben von Aegnor
... Außerdem wird beim Login die Ip gespeichert und bei jeder Seite im internen Bereich diese mit der aktuellen verglichen. Wenn eine dieser Überprüfungen negativ ist wird man zur loginseite geleitet....

Es gibt zb. AOL Kunden, deren IP´s sich häufig ändern - die hast Du damit vergrault.

**Aegnor** · 14.03.2005, 22:57

Vielen Dank schonmal:
Ist es so sicherer?:

PHP-Code:


$login_query = mysql_query("SELECT * FROM user_index where user_nick ='$user_nick' And user_pw ='".mysql_real_escape_string($_POST['user_pw'])."'");

mysql_real_escape_string wusse Google als Gegenmaßnahme.

Das mit der IP hab ich so gemacht um vor Sessionübernahmen zu schützen.

Ist mit den abfragen alles soweit sicher?(abfragen ob man eingeloggt bzw. admin ist)

MfG

Aegnor

**davidovich** · 14.03.2005, 23:00

Naja ich wüsste nicht wie man es anderst machen könnte

(also die anderen abfragen)

**Aegnor** · 14.03.2005, 23:09

schonmal gut

Wird die SQL-Injektion mit der von Google gefundenen Gegenmaßnahme verhindert?(ist es das man z.B. 'or' 1 eingibt? oder ist das wieder was anderes)

mfg

Aegnor

**davidovich** · 15.03.2005, 03:40

Öhm das hast du glaub faslch verstanden

.

Such hier im Forum (und / oder) Google mal nach "SQL-Injektion". Das hat Google nicht erfunden

. Das mit dem 'or 1 kannst du so verstehen: sagen wir aml der User gibt seinen Username ein: z.B. hans
als Passwort nimmt er wurst, dann ergibt sich ein Query:

Code:

SELECT * FROM user_index where user_nick ='hans' AND user_pw = 'wurst'

Da ist ja alles noch OK. Nehmen wir mal an: Username: hans , Passwort: ' or 1='1

dann ergibt sich ein Query:

Code:

SELECT * FROM user_index where user_nick ='hans' AND user_pw = '' or 1='1'

Na verstanden?

**jahlives** · 15.03.2005, 07:01

PHP-Code:


$login_query = mysql_query("SELECT * FROM user_index where user_nick ='$user_nick' And 

user_pw ='".mysql_real_escape_string($_POST['user_pw'])."'");

Never trust the incoming data. imho würde ich die Usereingabe noch genauer prüfen, bevor du sie auf die DB loslässt.
Wenn du z.B. weisst, dass deine Passworte mindestens 3 Zeichen lang sind, dann prüfe danach.
Prüfe nach Zeichen (und verweigere die Anmeldung) wie ' und " ,welche Anzeichen für SQL-Injections sein könnten.
Das gleiche gilt für den User, auch diese Eingabe sollte geprüft werden, ehe du sie in eine MySql-Abfrage einbaust.

Gruss

tobi

**mrhappiness** · 15.03.2005, 07:12

Original geschrieben von jahlives
imho würde ich die Usereingabe noch genauer prüfen, bevor du sie auf die DB loslässt.
Wenn du z.B. weisst, dass deine Passworte mindestens 3 Zeichen lang sind, dann prüfe danach.
Prüfe nach Zeichen (und verweigere die Anmeldung) wie ' und " ,welche Anzeichen für SQL-Injections sein könnten.
Das gleiche gilt für den User, auch diese Eingabe sollte geprüft werden, ehe du sie in eine MySql-Abfrage einbaust.

Warum?
Wegen der Sicherheit?
mysql_real_escape_string reicht doch völlig aus, was könnte die Funktion übersehen, du aber nicht?

**jahlives** · 15.03.2005, 07:25

...was könnte die Funktion übersehen, du aber nicht?

Ich, wenn ich das Script geschrieben habe, weiss was ich für Mindestanforderungen an das Passwort stelle und darauf prüfe ich. Ok auf die ' und " zu kontrollieren ist überflüssig. Aber eine Prüfung auf die Minimalanforderungen an ein Passwort halte ich durchaus für angebracht.
Gruss

tobi

**mrhappiness** · 15.03.2005, 07:48

Das solltest du dann aber nicht bei jedem Login machen.
Vielmehr solltest du dafür Sorge tragen, dass der Benutzer kein deiner Meinung nach unsicheres Passwort wählen kann.
=> Du solltest beim Passwort ändern prüfen

btw:
md5 auf den Buchstaben 'a' ergibt genauso 32 Zeichen wie md5 auf den Text 'wdcw765r34%&$§Evdsc5%'

**jahlives** · 15.03.2005, 08:02

Du solltest beim Passwort ändern prüfen

Das mache ich in meinem Script auch. Dort prüfe ich Passwort und Username auf verbotene Zeichen.
Nur halte ich es bei der Prüfung der Daten mit folgendem Grundsatz: Was nicht sein kann, wird auch nicht weiter geprüft :-)
Ich weiss bei mir dass das PW mindestens eine Zahl und einen Grossbuchstaben/Sonderzeichen enthalten muss.
Auch der Benutzername muss einen Grossbuchstaben enthalten.
Wenn die Untersuchung der Eingabe negativ ist, dann mache ich
auch keine DB-Abfrage mehr.

Gruss

tobi

**mrhappiness** · 15.03.2005, 08:04

Das bleibt dir ja unbenommen, dachte du wolltest irgendwie auf eine Steigerung der Sicherheit beim SELECT hinaus

**jahlives** · 15.03.2005, 08:25

...dachte du wolltest irgendwie auf eine Steigerung der Sicherheit beim SELECT hinaus

Nein das wollte ich nicht, denn ich denke der Select ist sicher so. Ich habe das bei mir "eingeführt" damit ich einem User, der 3 mal ein PW eingibt das nicht der Minimalanforderung entspricht, mittels htaccess den Zugang verweigern kann (trage dann die IP ein und sperre so den Zugang, zumindest bis der User ne neue IP hat oder 20 min keinen Log-In mehr versucht)

Gruss

tobi

Sicherheit eines Internen Bereiches